超級新手︱了解冰釣攻擊

近月加密貨幣出現新型騙局，NFT 收藏家 sevenseason 早前在社交媒體上發文，指其個人收藏共計 14 枚 Bored Ape Yacht Club （BAYC）無聊猿 NFT 已全部被偷，隨即在二手市場成交，交易者共獲利約 968.95 以太幣，涉資近千萬港元。

有別於過去「勒索軟體」及「網絡釣魚」，這次黑客用上了新式的「冰釣攻擊」（ice phishing）。微軟更發出警告，稱有可能出現針對區塊鏈和 Web3 環境的網絡釣魚攻擊變種，提醒用戶提防。

甚麼是冰釣攻擊？

一直以來，網絡釣魚都是黑客用來竊取受害者資產的流行方法之一，「冰釣攻擊」則是 Web3 中獨有的一種攻擊。

簡單而言，黑客誘騙 Web3 用戶簽署許可而解鎖權限，讓他們可偷取用戶錢包內的資產。與傳統的網絡釣魚攻擊不同，雖同樣可獲取用戶機密信息，如私人鑰匙或密碼，但因與 DeFi 協議的互動需先獲取授予權限，加上 Web3 特徵之一是去中心化，較 Web2 應用程式少了第三方平台保護，用戶一旦簽署許可，資產就有可能直接被抽走，危險程度較「網絡釣魚」高。

冰釣攻擊的例子

根據微軟 365 Defender 研究團隊發表的文章，Badger DAO 攻擊於 2021 年底成功從用戶手中竊取逾一億美元。

當時 Badger 為一種 DeFi 協議，允許人們從比特幣存款中賺取利息。當時智能合約前端基礎設施遭到破壞，允許攻擊者將惡意腳本（Script）注入 Badger 智能合約，並要求用戶簽署交易。

2021 年 12 月 2 日凌晨，受害者賬戶中的資金被抽走，在 10 小時內有近 200 個賬戶被提取 1.21 億美元。

如何偵查冰釣攻擊？

如用戶不肯定地址是否「冰釣攻擊」，可通過例如 CertiK 的驗證網站，查看有沒有顯示虛假審計或合作夥伴關係。CertiK 亦建議用戶使用代幣批准工具和區塊鏈瀏覽器，如 Etherscan，來查看地址的交易記錄。

如果看到一個不認識的地址，或者一個地址在未經批准下發起交易，應撤銷其權限。用戶可通過 revoke.cash 等網站，或將錢包連接到掃描網站來撤銷。

如何防範冰釣攻擊？

預防勝於治療，要防範冰釣攻擊，最佳簡單方法是只登入信任的官方網站，而在 Twitter 等社交網絡上，可以發現許多冰釣攻擊詐騙，包括利用虛假資料偽裝成合法項目，並宣傳虛假空投，因此用戶使用社交網絡時，要相當小心。

微軟建議，用戶應時刻檢查合約地址是否正確、Web3 項目是否設有可以部署修復程序、合約是否具有事件響應或緊急功能，亦應了解可否暫停或取消。

另外，可通過 defiyield 評估智能合約是否經過審計；CertiK Skynet 則可通過鏈上監控跟蹤部署後的安全情報，亦可定期審查和撤銷代幣配額，如使用 etherscan.io。